Přejít na hlavní obsah
CIAD

AutoJack: jedna navštívená webová stránka může ovládnout počítač s AI agentem

Výzkum Microsoftu odhalil, že AI agent při procházení webu může být zneužit ke spuštění kódu na hostiteli. Zasaženy jsou pre-release verze AutoGen Studio.

Firmy, které nasazují AI agenty, musí počítat s novou třídou rizik: samotný obsah webové stránky, kterou agent navštíví, může útočníkovi otevřít přístup k počítači, na němž agent běží. Žádná interakce uživatele není potřeba.

Co se stalo

Microsoft Defender Security Research Team zveřejnil 18. června 2026 výzkum pojmenovaný AutoJack. Popisuje trojici propojených bezpečnostních slabin v AutoGen Studio, open-source nástroji, který Microsoft Research vyvíjí jako uživatelské rozhraní pro systémy s více AI agenty.

Útočník může sestavit škodlivou webovou stránku tak, že jakmile ji AI agent navštíví při procházení internetu, dojde ke spuštění libovolného kódu (RCE; Remote Code Execution znamená, že cizí příkazy se spustí na vašem počítači nebo serveru) přímo na hostiteli, tedy na stroji, kde agent pracuje. Uživatel si přitom nemusí ničeho všimnout.

Jak útok funguje

Exploit chain (řetězec zneužití) spojuje tři slabiny dohromady.

Za prvé: rozhraní AutoGen Studia pro komunikaci s nástroji využívá protokol MCP (Model Context Protocol, standard pro propojení AI nástrojů). WebSocket spojení tohoto rozhraní nedostatečně kontroluje, odkud požadavky přicházejí, a lze obejít bezpečnostní whitelist (seznam povolených zdrojů).

Za druhé: totéž rozhraní nevyžaduje žádné přihlášení ani ověření identity. Kdokoli, kdo se na něj dokáže napojit, může vydávat příkazy.

Za třetí: parametry příkazů jsou předávány přímo do shellu (příkazového řádku počítače) bez dostatečného prověření. Kombinace těchto tří slabin umožňuje vzdálenému obsahu, který agent navštíví, ovládnout shell hostitele.

Které verze jsou zranitelné

Zasaženy jsou výhradně pre-release verze 0.4.3.dev1 a 0.4.3.dev2 dostupné na PyPI (veřejném úložišti Python balíčků). Stabilní verze 0.4.2.2 zasažena není. Oprava je dostupná v GitHub main commitu b047730.

Proč je to důležité i obecně

AutoJack ilustruje nový typ hrozby. Nestačí zabezpečit samotný AI model. Agent, který autonomně prochází internet, funguje jako neúmyslný přenašeč útoku: libovolná webová stránka se stává potenciálním vstupním bodem do vaší infrastruktury.

Co dělat

Pokud ve firmě provozujete autonomní AI agenty s přístupem k internetu, doporučujeme:

  • Nepoužívejte pre-release verze AutoGen Studio (0.4.3.dev1, 0.4.3.dev2) v produkčních ani vývojových prostředích. Přejděte na stabilní 0.4.2.2 nebo aplikujte opravu z commitu b047730.
  • Provozujte AI agenty v izolovaném prostředí (sandbox, kontejner, dedikovaná VM) bez přímého přístupu k hostiteli a interní síti. Sandbox je oddělené prostředí, kde program nemůže ovlivnit zbytek systému.
  • Vyžadujte ověření identity u všech MCP rozhraní a důsledně kontrolujte origin (původ) u WebSocket spojení.
  • Omezte oprávnění agentního procesu v shellu na nejnižší nutnou úroveň.
  • Zahrnujte AI agenty do modelu hrozeb při návrhu bezpečnostní architektury. Nepovažujte je za pasivní nástroje.

Co z toho plyne

AI agenti, kteří autonomně procházejí web, přinášejí nový model hrozby: obsah libovolné stránky se stává potenciálním útokem na hostitele. Nestačí zabezpečit model, nutné je izolovat celé prostředí, v němž agent operuje.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog